Test av relevans och validitet avseende säkerhetsvärdering - En studie av Försvarsmaktens metoder för säkerhetskravställning och sårbarhetsanalys

Författare:

  • Johan Bengtsson
  • Jonas Hallberg

Publiceringsdatum: 2009-01-08

Rapportnummer: FOI-R--2625--SE

Sidor: 56

Skriven på: Svenska

Nyckelord:

  • Säkerhetsvärdering
  • auktorisation
  • ackreditering

Sammanfattning

Att uppnå och behålla ändamålsenliga nivåer av informationssäkerhet i Försvarsmaktens IT-system är kritiskt. De tillhörande auktorisations- och ackrediteringsprocesserna måste därför vara effektiva. Inom auktorisations- och ackrediteringsprocesserna tas flera beslut baserat på hur olika alternativ förväntas påverka systemens säkerhetsnivåer. Ändamålsenliga underlag för dessa beslut kräver förmåga att värdera de resulterande säkerhetseffekterna. Effektiv värdering av informationssäkerhet kräver att använda metoder såväl motsvarar användarnas behov som avspeglar verkligheten. Syftet med denna rapport är att utröna relevans och validitet hos metoder för värdering av informationssäkerhet. Studerade metoder återfinns i processer för framtagande av underlag för auktorisationsbeslut B2. Det arbete som beskrivs i denna rapport har resulterat i följande huvudsakliga bidrag.  En övergripande beskrivning av framtagandet av underlag för auktorisationsbeslut B2.  Beskrivning av delprocesserna för framtagande av säkerhetskrav samt sårbarhetsanalys.  Analyser av relevans och validitet hos de metoder för säkerhetsvärdering som ingår i processerna för framtagande av säkerhetskrav och sårbarhetsanalys.